‘Phishing’, pescando contraseñas

Es posible que a muchos les suene, pues en los útimos años el término phishing se ha difundido entre los internautas, y ha estado siempre asociado con las estafas que se urden en la red, en particular con el robo de credenciales de banca electrónica. Este vocablo, proviene del inglés fishing (pesca), en alusión al intento de engañar a los usuarios para que “muerdan el anzuelo”.

Se utiliza para definir aquellas estafas en la cual se suplanta la identidad de una organización o individuo, típicamente una entidad financiera o proveedor de servicio, presentando al usuario un formulario falso donde introducir sus credenciales para posteriormente apoderarse de ellas, haciéndole creer que se trata del sitio web original. Para ello, se utilizan diversas artimañas y tretas, englobados dentro de lo que se conoce como “ingeniería social”, que viene a ser lo que toda la vida se ha conocido como el arte del timo o del engaño: manipular a las personas, para obtener lo que se desea de ellas. Existen muchas modalidades de ingeniería social. Kevin Mitnick, el hacker más famoso de todos los tiempos, siempre resaltó esta rama del hacking por encima de otras, pese a ser la menos técnica, pues afirmaba que “el usuario es siempre el eslabón más débil”.

Existen muchas vías por la que los ciberdelincuentes lanzan ataques de phishing, siendo la más utilizada el correo electrónico. Afortunadamente, gran parte de estos intentos van a parar a la bandeja de correo no deseado, pero esto no siempre ocurre. Es por ello que deberíamos desconfiar siempre de cualquier mensaje que nos solicite datos personales.

phishing

Intento de phishing usando la imagen de un banco / DA

En la imagen sobre estas líneas podemos ver el último intento de phishing que recibí en mi bandeja de correo no deseado, y que he incluido aquí porque, además de su simpleza, destaca su escasa calidad en lo que a programación se refiere. Aparte del error en el nombre del remitente Banco Popupar, en vez de incluir directamente el formulario en el correo, se envía en un fichero HTML adjunto, que el usuario ha de guardar y abrir posteriormente, con lo que pone en entredicho su credibilidad.

Contraseñas

Captura de pantalla de un ejemplo de intento de robo de contraseñas / DA

En la imagen sobre estas líneas se puede comprobar, que el enlace al que lleva este formulario no pertenece al Banco Popular. Al contrario de lo que sucede con este ejemplo, existen ejemplos de phishing muy sofisticados, en los que es muy complicado apreciar diferencias con el sitio web original, salvo por la dirección a la que se envían los datos.

Lo que realmente es significativo, es el hecho de que algunos internautas son víctimas de intentos de phishing tan elementales como el que acabamos de mostrar.

Ni un banco, ni ningún proveedor de servicio (Facebook, Twitter, Gmail,..) nos va a solicitar nunca nuestras credenciales por correo, ni por otro canal. Asimismo, si recibimos en el correo cualquier notificación correspondiente a alguno de nuestros perfiles en algún servicio a través de un enlace, es preferible acceder directamente a dicho servicio de la manera habitual, tecleando la dirección en navegador, en lugar de seguir ese enlace que nos facilita el correo, ya que aunque pueda suponer un atajo en esta frenética vida en la que intentamos hasta ahorrar clics de ratón, es probable que se trate de un enlace malicioso que tenga como destino una página de phishing idéntica a la real, o algún otro tipo de ataque. Por otra parte, desconfiar por norma, y como siempre, disponer de un antivirus comercial, el navegador actualizado y los parches de seguridad instalados son otras medidas que nos permiten prevenir el robo de información mediante estas técnicas.

El artículo tiene 0 Comentarios